361该控制措施对应的指南为
Control
Organizations should regularly monitor, review and audit supplier service delivery
Implementationguidance
对供应商服务的监视和评审以确保坚持协议的信息安全条款和条件,且信息安全事件和问题得到了恰当的管理。 这宜包括一个组织和供应商之间的管理关系过程:supplier to:
a)监视服务绩效水平与协议一致;
b)评审协议中所要求的供应商的服务报告并安排定期的例会(各茫?需要提高接告是在A Li工3手要求的); c1组织供应商审计,如果可能,连同独立的审计报告以及后续识别出的问题;
d)评审供应商审计踪迹以及信息安全事件记录、操作问题、失败、错误跟踪和与服务交付相关的中断; fl解决并管理任何可能识别出的问题;
g)评审供应商与他们的供应商关系中的信息安全方面;
h)确保供应商有充足的服务能力以及设计的确保商定的重大服务失败或灾难后所能保持的业务连续性水平的可行计划(见条款17)。
管理供应商关系的责任宜被分配给个人代表或服务管理团队。此外,组织宜确保供应商分配评审符合性和加强协议要求的责任。 宜有足够的技术技巧和资源监视协议的要求,特别是信息安全要求,被满足了。当观察到服务交付不足时,宜实施合适的行动。
The organization should retain visibility into security activities such as change management, identification of vulnerabilities and information security incident reporting and response through a defined reporting process.组织宜保留足够的整体控制和供应商评估、处理或管理的敏感或关键的信息或信息处理设施的可见性。组织宜保留例如变更管理、脆弱性识别和通过确定好的报告过程报告或响应信息安全事件等安全活动的可见性。